Pinterest atlaida inženierus, kuri izsekoja atlaišanas pakalpojumā Slack — ko tas saka par privātumu, uzticēšanos un iekšējo telemetriju

Tiek ziņots, ka Pinterest atlaida divus inženierus pēc tam, kad viņi uzrakstīja skriptus, lai identificētu, kuri kolēģi atlaišanas laikā tiek atslēgti no iekšējiem rīkiem, un pēc tam šo sarakstu kopīgoja plašāk. Virspusēji tas ir darba vietas drāmas stāsts. Zemāk tas ir neparasti skaidrs gadījuma pētījums par to, kā mūsdienu uzņēmumi patiesībā darbojas: identitātes sistēmas kā patiesības avots, tērzēšanas platformas kā de facto organizācijas shēmas un “iekšējie dati”, kas tehniski ir pieejami ilgi pirms tie ir sociāli pieņemami.

Šis incidents ir svarīgs ne tikai Pinterest, jo gandrīz katrā tehnoloģiju uzņēmumā pastāv vienas un tās pašas sastāvdaļas: centralizēta identitāte, Slack vai Teams, HR sistēmas un gara iekšējo informācijas paneļu un API virkne. Kad laiks ir mierīgs, neviens pārāk daudz nedomā par robežu starp novērojamību un uzraudzību. Kad notiek atlaišanas, šī robeža izgaismojas.

Šajā skaidrojumā mēs aplūkosim, kas, visticamāk, notika, kāpēc ir vilinoši veikt šāda veida izsekošanu, kur tā pārkāpj ētikas un politikas robežas un ko organizācijas var darīt, lai mazinātu gan privātuma kaitējumu, gan vēlmi vākt informāciju ēnu režīmā.

Kas notika (un ko šeit droši vien nozīmē “scenārijs”)

Kā vēsta BBC, Pinterest paziņoja, ka “divi inženieri uzrakstīja pielāgotus skriptus, nepareizi piekļūstot konfidenciālai uzņēmuma informācijai, lai identificētu visu atlaisto darbinieku atrašanās vietas un vārdus, un pēc tam tos kopīgoja plašāk”, nosaucot to par politikas pārkāpumu un privātuma problēmu attiecīgajiem darbiniekiem. Ziņojumā mehānisms tiek raksturots arī kā darbinieku vārdu noņemšanas vai deaktivizēšanas uzraudzība iekšējās komunikācijas rīkā, “piemēram, Slack”.

Daudzos uzņēmumos Slack (vai līdzīgs) ir tieši saistīts ar identitātes nodrošinātāju (Okta, Azure AD, Google Workspace utt.). Kad konts tiek atspējots, notiek kaskāde: piekļuves žetoni zaudē spēku, grupas mainās un lietotājs vairs netiek rādīts noteiktos direktoriju meklējumos, kanālos un integrācijās. Ja jums ir API piekļuve (pat tikai lasīšanas režīmā), bieži vien varat secināt, kura konta darbība tika pārtraukta, vienkārši nosakot stāvokļa izmaiņas:

• Lietotājs pazūd no “aktīvo lietotāju” saraksta.
• Lietotāja profils tiek deaktivizēts.
• Bots vairs nevar viņiem sūtīt tiešos ziņojumus.
• Viņu dalība mainās dažādos kanālos vai lietotāju grupās.

Šajā kontekstā “skriptam” nav jābūt sarežģītam. Tā varētu būt dažas desmiti koda rindiņu, kas aptaujā API, salīdzina vakardienas lietotāju sarakstu ar šodienas un izdod brīdinājumu. No tīri tehniska viedokļa tas ir tas pats modelis, ko inženieri izmanto likumīgiem operatīviem uzdevumiem: divu momentuzņēmumu diferenciācija, lai noteiktu izmaiņas.

Atšķirība ir tajā, kas tiek atklāts (cilvēki), kāpēc tas tiek atklāts (atlaišanas) un kur nonāk rezultāti (tiek plaši izplatīti).

Kāpēc darbinieki tā rīkojas atlaišanas laikā

Pastāv nepatīkama patiesība par atlaišanām: cilvēki parasti uzzina notikuma būtību pa blakus kanāliem, pirms vadība kaut ko precizē. Dažreiz tas ir tāpēc, ka vadība vēl nevar dalīties detaļās. Dažreiz tas ir tāpēc, ka "mēs joprojām strādājam pie detaļām" ir eifemisms frāzei "mēs nevēlamies teikt".

Tātad darbinieki ķeras pie jebkādiem signāliem:

• Draugi pēkšņi apklust.
• Kalendāra ielūgumi pazūd.
• Piekļuve krātuvēm ir atsaukta.
• Slack statuss mainās vai persona pazūd no direktorija.

Šo signālu izsekošana var šķist kā pašaizsardzība. Cilvēki vēlas zināt:

• Vai mana komanda ir ietekmēta?
• Vai manu vadītāju atlaida no darba?
• Vai mani tuvākie līdzstrādnieki joprojām ir šeit?
• Vai uzņēmumā viss ir kārtībā, vai arī šī ir plašāka pārstrukturēšana?

Šī motivācija ir cilvēciska un paredzama. Taču paredzama uzvedība joprojām var būt kaitīga.

Privātuma problēma: atlaišanas statuss ir sensitīva informācija

Atlaišanas gadījums nav tikai "darba sīkumi". Tā ir sensitīva personiska informācija par personas nodarbinātības statusu, kas bieži vien ir saistīta ar pabalstiem, imigrāciju, veselības apdrošināšanu un nākotnes darba izredzēm.

Pat ja uzņēmums plāno publiski paziņot par darbinieku skaita samazināšanu, personu identitāte un atrašanās vietas parasti ir paredzētas atklāšanai, pamatojoties uz nepieciešamību zināt:

• Nepieciešama informācija par personāla un algas aprēķinu.
• IT nodaļai ir jāveic pārreģistrācija.
• Juridiskās vajadzības, lai nodrošinātu atbilstību.
• Vadītājiem ir tieši jāsazinās ar savām komandām.

Atlaisto darbinieku saraksta plaša iekšējā koplietošana ir atšķirīga. Tā var:

• Atņemt skartajai personai spēju kontrolēt stāstījumu.
• Atklāt kāda atrašanās vietu vai komandas piederību.
• Veiciniet tenkas un spekulācijas (“vai tā bija izrāde?”, “vai tā bija politiska?”).
• Palielina mērķtiecīgas uzmākšanās vai doksinga risku ārpus uzņēmuma.

Pinterest apgalvojums, ka tas pārkāpis bijušo kolēģu privātumu, nav tikai sabiedrisko attiecību tēma. Tā ir reāla kaitējuma kategorija.

Drošības problēma: piekļuves kontrole nav tas pats, kas autorizācija

Daudzas iekšējās sistēmas darbojas ar rupjām atļaujām: ja esat inženieris, iespējams, varēsiet veikt vaicājumus direktorijā vai izmantot iekšējo API. Tas nenozīmē, ka jums ir atļauja to izmantot visiem mērķiem.

Tieši šeit daudzām organizācijām ir grūtības. Tās veido iekšējos rīkus, kas ir:

• Viegli lietojams,
• Spēcīgs,
• Slikti pārvaldīts.

Un tad viņi paļaujas uz politiku (“nedariet to”) kā galveno aizsargbarjeru. Kad spiediens ir liels, tikai uz politiku balstītie aizsargbarjeras neizdodas.

NIST SP 800-53 ir viens no standarta katalogiem, ko organizācijas izmanto, lai domātu par kontroles grupām, piemēram, piekļuves kontroli un auditu. Pat neapmaldoties kontroles ID, pamatideja šeit ir skaidri piemērojama: datu piekļuvei jābūt ierobežotai, uzraudzītai un attiecināmai uz likumīgiem biznesa mērķiem, īpaši attiecībā uz sensitīvām informācijas kategorijām.

Citiem vārdiem sakot: frāzi “tehniski jūs to varat izlasīt” nekad nevajadzētu uztvert kā “jums tas ir pieņemami”.

Kultūras problēma: Slack ir kļuvis par organizācijas diagrammu

Lielākajai daļai uzņēmumu tagad ir divas paralēlas realitātes:

1. Formālā realitāte: personāla vadības sistēmas, ziņošanas līnijas, oficiāli paziņojumi.
2. Dzīvā realitāte: Slack kanāli, grupu tiešie ziņojumi, GitHub pieminējumi, dežūru rotācijas.

Kad formālajā sistēmā kaut kas mainās (piemēram, darbinieku pārcelšana uz citu personālu), tas nekavējoties rada redzamus artefaktus reālajā sistēmā. Darbinieki šos artefaktus interpretē kā patiesību — dažreiz pat spēcīgāk, nekā uzticas vadības komunikācijai.

Šī neatbilstība rada perversu stimulu:

• Ja vadība jums nestāsta, kas notiek,
• jūs to rekonstruēsiet no jebkādām telemetrijas noplūdēm.

Šis incidents atgādina, ka “iekšējā caurspīdība” nav tikai komunikācijas stratēģija — tā ir arī informācijas drošības stratēģija. Ja cilvēki jutīs, ka viņiem ir jāsaliek kopā realitāte no noplūdēm, viņi to arī darīs.

Kur inženieri pārkāpa robežu

Pat ja jūs saprotat, kāpēc kāds varētu izveidot šādu skriptu, ir vismaz trīs skaidras robežas, kas tiek pārkāptas:

1) Mērķa ierobežojums

Ja datu avots ir “konfidenciāla uzņēmuma informācija”, paredzams, ka tā tiks izmantota likumīgai uzņēmējdarbības funkcijai, nevis atlaišanas izpētei.

NIST privātuma satvars uzsver privātuma riska pārvaldību un tādu metožu izmantošanu, kas aizsargā personas. Praktisks tulkojums ir “vāc un izmanto datus konkrētiem, likumīgiem mērķiem un izvairās no sekundāras izmantošanas, kas rada jaunu kaitējumu”.

Skripts atlaisto kolēģu identificēšanai gandrīz pēc definīcijas ir sekundārs pielietojums: atlaišanas signāli pastāv, lai aizsargātu sistēmas un izpildītu HR procesus, nevis lai ģenerētu iekšēju atlaišanas sarakstu.

2) Pastiprināšana

Cilvēki pamana pazušanas pakalpojumā Slack organiski — tā ir apkārtējās informācijas noplūde.

Skripts pārvērš apkārtējās vides noplūdi strukturētā datu kopā (vārdi, atrašanās vietas, iespējamās komandas, izbeigšanas laiks). Tā ir pastiprināšana: kaitējuma potenciāls strauji palielinās, kad neskaidri signāli kļūst par tīru sarakstu.

3) Pārdale

Rezultāta kopīgošana “plašāk” ir solis, kuru ir grūti aizstāvēt kā vienkāršu ziņkāri. Tas rada jaunu sensitīvas informācijas izplatīšanas kanālu un padara autorus atbildīgus par ļaunprātīgu izmantošanu tālāk.

Ko uzņēmumi var darīt: samazināt noplūdes, palielināt uzticēšanos un pastiprināt kontroli

Pastāv maldīgs uzskats, ka risinājums ir “visu noslēgt”. Praksē ir nepieciešami trīs savstarpēji papildinoši soļi: pārvaldība, tehniskā kontrole un komunikācija.

1) Izturieties pret pārcelšanos uz citu personālu kā pret sensitīviem notikumiem un ievērojiet privātuma noteikumus.

Atvienošanās no sistēmas neizbēgami maina sistēmas, taču jūs varat samazināt informācijas apjomu:

• Samaziniet publiski pieejamo direktoriju izmaiņas, līdz notiek saziņa.
• Izvairieties no masveida lietotāju noņemšanas, kurus ir viegli atšķirt.
• Apsveriet iespēju atlikt noteiktus drošībai nekritiskus atjauninājumus par vairākām stundām, lai tie nedarbotos kā reāllaika atlaišanas plūsma.

Mērķis nav mūžīgi slēpt realitāti. Tas ir izvairīties no sāpīga notikuma pārvēršanas dārgumu medībās.

2) Pievienojiet mērķtiecīgas piekļuves kontroles un reģistrēšanu

Ja iekšējās API var atklāt darbinieku statusa izmaiņas plašā mērogā, tad:

• Piekļuvei jābūt attiecinātai uz lomām, kurām tā ir nepieciešama.
• Lielapjoma eksportam būtu nepieciešams pamatojums.
• Vaicājumi jāreģistrē, norādot identitāti un nolūku.
• Automatizētajām aptaujām vajadzētu izcelties.

Šeit svarīga ir “audita un atbildības” domāšanas veids: ja skripts uzskaita lietotājus un izdod brīdinājumus, tam vajadzētu aktivizēt noteikšanu.

3) Izstrādājiet humānu komunikācijas plānu atlaišanas gadījumā

Lielākais ēnu izsekošanas virzītājspēks ir nenoteiktība.

Uzņēmumi var mazināt vēlmi izmantot iekšējos rīkus, skaidri norādot:

• Kad tiks informēti darbinieki, kurus tas skars?
• Kad komandas tiks informētas?
• Ko un kad var kopīgot?
• Kur cilvēkiem vajadzētu meklēt pārbaudītus atjauninājumus?

Ja vadība sniedz savlaicīgu, konkrētu informāciju, “vajadzība” pēc “dari pats” sarakstiem mazinās.

4) Dodiet darbiniekiem sankcionētu veidu, kā pārbaudīt līdzstrādniekus

Tas ir smalki, bet svarīgi. Cilvēki ir ne tikai zinātkāri — viņi cenšas koordinēt darbu un aprunāties ar draugiem.

Vienkāršs, sankcionēts direktorija statusa ziņojums (“šis konts vairs nav aktīvs”) bez laika zīmogiem, atrašanās vietas vai sarakstiem varētu apmierināt pamatvajadzības, neļaujot veikt masveida rekonstrukciju.

Plašāka tendence: atlaišanas kā informācijas drošības stresa tests

Atlaišanas atklāj pārvaldības vājās vietas, jo tās rada:

• jutīgu notikumu uzliesmojums,
• augsta emocionālā temperatūra,
• un liela piekļuves zaudēšana.

Tieši tad var redzēt robežgadījumus: darbinieki neizmanto sistēmas, vadītāji improvizē un rīki tiek izmantoti tādos veidos, kādiem neviens nav paredzēts.

Tādas vietnes kā Layoffs.fyi pastāv, jo cilvēki vēlas neatkarīgu signālu par štatu samazināšanas apmēru nozarē. Uzņēmuma iekšienē pastāv tāda pati vajadzība — izņemot to, ka signāli ir tiešāki un likmes ir personiskas.

Apakšējā līnija

Pinterest inženieru atlaišana par atlaišanas izsekošanas skriptēšanu nav tikai “neesiet ziņkārīgi”. Tas ir brīdinājums, ka iekšējā novērojamība var kļūt par iekšējo uzraudzību brīdī, kad organizācijas uzticība mazinās.

Ja jūsu rīki ļauj viegli pārvērst identitātes aizplūšanu par atlaisto kolēģu sarakstu, cilvēki to darīs — īpaši atlaišanas gadījumā. Risinājums nav tikai to cilvēku sodīšana, kuri uzrakstīja skriptu, bet arī tādu sistēmu un komunikācijas prakses izveide, kas nepārvērš atlaišanu par datu noplūdi un kas nodarbinātības statusu uzskata par sensitīvu informāciju, kāda tā ir.

---

Avoti

• https://www.bbc.com/news/articles/cn0k670n0ydo
• https://layoffs.fyi/
• https://www.nist.gov/privacy-framework
• https://csrc.nist.gov/pubs/sp/800/53/r5/final